Alors que j'étais en train de m'empiffrer d'une paëlla dans le sud de la France, un journaliste m'appelle sur mon mobile pour me demander ma réaction sur un trou de sécurité dans Firefox. J'avale de travers la bouchée en cours, manque de moucheter mon épouse qui déjeunait en face de moi (le riz safrané, ça tache !) et je tente de reprendre mes esprits. Etant déconnecté d'Internet depuis une semaine (hormis une rapide connexion mardi), je suis pris de cours, et j'explique ma position à mon interlocuteur, qui est désolé de me déranger pendant mes vacances.

Mozilla est donc victime d'un trou de sécurité. J'ai toujours su (et dit) que ça arriverait un jour où l'autre. Mais maintenant que ça arrive, il est temps de montrer que l'équipe de développement est à la hauteur. Les questions affluent :

  • Quand seront-nous capables de résoudre le problème ?
  • L'attaque est elle-grave ?
  • Des utilisateurs ont-ils été touchés ?
  • Comment communiquer rapidement la solution à nos utilisateurs ?

Après un appel téléphonique avec un des co-fondateurs de Mozilla Europe, je suis soulagé. Moins de 24 heures après la découverte du trou de sécurité, une solution est prévue :

  • Les versions corrigées des produits sont disponibles sur le site FTP. Ainsi, les prochains utilisateurs à télécharger nos logiciels seront protégés ;
  • Un patch (de 500 octets, format XPI) est disponible pour ceux qui ne veulent pas télécharger un nouveau binaire, avec un mode d'emploi ;
  • Il est possible de modifier le paramètre à la main pour ceux qui le souhaitent :

dans la barre d'adresse, tapez about:config, cherchez shell (il y a un champ de recherche intitulé filter qui permet cela) et assurez-vous que la valeur indiquée à droite est bien false. Sinon, changez-là avec le menu contextuel modify et indiquez false. Quittez l'application et redémarrez-là pour prendre en compte ce changement de paramètre.

Il reste alors à Mozilla Europe à mettre à jour le site pour demander à nos utilisateurs de bien vouloir appliquer le patch ou télécharger une nouvelle version. Je discute de ce que nous devons faire. Je suis partisan d'une annonce en première page. En quelques heures, les bénévoles rédigent une mise à jour du site, se relisent mutuellement et publient le résultat.

Il y a quelques conclusions à tirer de cette aventure :

  • Malgré mon incapacité à me connecter, l'équipe a su réagir intelligemment et rapidement, car disposant des droits de publication et d'un processus de publication assez flexible pour faire face à l'imprévu ;
  • Mozilla.org a réagit avec une grande rapidité, et je les félicite ;
  • Là où nous avons été moins bon, c'est en laissant ce trou de sécurité dans les logiciels. En théorie, il était bouché par une mise à jour de Windows installée avec Internet Explorer 6 Service Pack 1, mais il semblerait que la rustine de Microsoft n'ait pas été à la hauteur. Notre faute a été d'avoir fait confiance en Microsoft... Notons que ce trou de sécurité n'existe pas sur Mac OSX ni Linux.